Chrome はユーザーのパスワードの侵害状況を確認するため、暗号化を施した特別な形式でユーザー名とパスワードを Google に送信します。Google はその情報を使って、侵害が判明している認証情報のリストと突き合わせますが、暗号化した情報からユーザー名とパスワードを取得することはできません。
ウェブサイトのパスワードが侵害されていた場合はユーザーに通知しますが、パスワードを変更する関連フォームを見つけるのは時間がかかることがあります。そこで、".well-known/change-password" URL をサポートします。これにより、Chrome でパスワードの侵害のアラートが表示されると、ユーザーは適切な「パスワード変更」フォームを直接開けるようになります。
この改善に加えて、モバイル版の Chrome にも安全確認を提供します。次のリリースでは、iOS と Android の Chrome に安全確認を導入し、侵害されたパスワードの確認に加え、セーフ ブラウジングが有効になっているかどうか、現在実行している Chrome のバージョンが最新のセキュリティ保護でアップデートされているかどうかの通知を行います。また、iOS 版の Chrome に保存したログイン情報は、他のアプリやブラウザでも自動入力できるようになります。
Chrome 86 では、ユーザーのセキュリティを向上させるたくさんの追加機能もリリースされる予定です。詳しくは、以下の説明をご覧ください。
Android のセーフ ブラウジング保護強化機能
今年、PC 向けにセーフ ブラウジング保護強化機能をリリースしました。これにより、Chrome ユーザーはさらに高度なセキュリティ保護を受けることもできます。
セーフ ブラウジング保護強化機能をオンにすると、Chrome は Google のセーフ ブラウジング サービスとリアルタイムにデータを共有し、先回りでフィッシングやマルウェア、その他の危険なサイトから保護します。ウェブサイトやダウンロードのリアルタイム チェックを有効にすると、予測フィッシング保護によって、フィッシング サイトにパスワードを入力してしまうユーザーは約 20% 減少します。
iOS でのパスワード自動入力の改善
先日、フィッシング攻撃に対する保護として、タッチしてパスワードを自動入力する機能を Android 向けにリリースしました。iOS でもセキュリティを強化するため、パスワードを自動入力する前に生体認証の手続きを追加します。iOS では、Face ID、Touch ID、スマートフォンのパスコードのいずれかを使って認証できます。さらに、[Settings] で Chrome の自動入力を有効にしている場合は、Chrome Password Manager を使って iOS のアプリやブラウザに保存済みのパスワードを自動入力できます。
更新(2020/10/07): 当初、混合フォームの警告は Chrome 86 でリリースされる予定でしたが、遅延して Chrome 87 になる見込みです。
安全な HTTPS ページの中にも、安全でない機能が含まれる場合があります。今年より Chrome では、安全なページに安全でないコンテンツが含まれる "Mixed Contents" をブロックする保護が行われるようになりました。しかし、HTTPS ページには、その他にもユーザーのセキュリティ リスクとなるものがあります。たとえば、安全でないリンクからのダウンロードの提供、安全でない形でデータを送信するフォームの使用などです。
このような脅威に対するユーザー保護を強化するため、PC と Android の Chrome 86 に混合フォームの警告を導入し、HTTPS ページに埋め込まれた安全でないフォームを送信する前にユーザーに警告します。
さらに、Chrome 86 では、安全なページで安全でないダウンロードを始めると、ブロックされたり警告されたりすることがあります。現時点では、この変更はよく悪用されるファイル形式に対してのみ行われます。しかし将来的には、安全なページでは形式によらず安全なダウンロードのみを開始できるようになる予定です。詳しくは、混合ダウンロードを段階的にブロックする Chrome の計画をご覧ください。
デベロッパーの皆さんは、ユーザーの安全とプライバシーを守るため、安全な接続を使うようにフォームやダウンロードをアップデートしてください。
スペインのマドリードで Firebase Summit 2019 を開催し、Firebase の最新情報をお伝えしたり、プロダクトに関するフィードバックに耳を傾けたりしてから 1 年が経ちました。その後、私たちが知る世界は変わってしまいましたが、Firebase のミッションは変わりません。そのミッションとは、モバイルアプリやウェブアプリの構築や運用を容易にして、デベロッパーの皆さんの成功をサポートすることです。
私たちは、アプリ開発の高速化、ユーザーの分析機能の提供、そしてスケーリングに役立つツールを構築するため、作業を続けています。今年はバーチャルで開催される Firebase Summit で、そのようなアップデートについてお知らせできることを楽しみにしています。太平洋標準時の 10 月 27-28 日、両日とも午前 9 時 30 分(日本時間の翌日午前 2 時 30 分)から開催されます。モバイル端末やノートパソコンを準備して firebase.google.com/summit を開くだけで、どこからでも視聴できます。
直接皆さんとお会いできないのは残念ですが、今年は今まで以上に多くのデベロッパーが参加してくれることを楽しみにしています。
次に、この 2 日間で期待できることをご紹介します。
10 月 27 日午前 9 時 30 分(太平洋標準時)の基調講演では、アプリの構築や運用に Firebase がどう役立つかについてお話しします。基調講演後にはチャットで質問を受け付け、#AskFirebase で Firebase チームがライブで回答します。
最新リリースのモニタリング、ユーザー エンゲージメントの向上、アプリの収益最適化などのトピックを扱う 11 のテクニカル セッションにもご期待ください。各セッションは 2 日間にわたってライブ配信されるので、視聴しながら他のデベロッパーや Firebase チームとチャットできます。さらに、都合のいい時間にオンデマンドで視聴することも可能です。
ハンズオンの学習体験として、Flutter と Firebase を使ってアプリをゼロからコーディングする様子をライブでお見せします。また、新しいデモの他、チュートリアル動画や詳しい手順が付いた Codelab を試して、Firebase を使ったウェブアプリの構築方法などの人気トピックについて学ぶこともできます。
Firebase Summit の詳細については、これから数週間でさらに詳しくお知らせする予定です。それまでの間、最新情報を受け取るためにイベントのページに登録し、Firebase YouTube チャンネルも登録しておきましょう。また、Twitter をフォローして会話に参加してください。
